OWSAP 顶尖十条最关键的网站安全缺陷

 

OWSAP 顶尖十条最关键的网站安全缺陷
1,Unvalidated input         从网页请求数据在被另一网站使用时是无效，攻击者使用那些缺陷通过一个网站攻击backend components。

2,Broken access control        关于证实的用户允许作什么的限制没有被适当的运行，攻击者利用那些缺陷获得其他用户的帐户、查看敏感的文件、或使用未经证实的功能。

3,Broken Authentication and Management        帐户认证和session不被适当的保护，攻击者就能窃取口令、keys, session cookies。或者其他的token能打败证明限制并且假借其他用户的身份。

4,Cross Site Scripting (XSS) Flaws        网站被用作一种传输一个攻击者到终端用户浏览器上的机制。攻击能成功的窃取终端用户的session token,攻击本地机器，或是可笑的文档愚弄用户。

5,Buffer Overflows        在一些语言中没有以适当地方方式输入有效的网站成分就可能被击碎，在一些情况中，被用来控制进程。这些成分包括CGI, libraries, drivers和网站服务成分。

6,Injection Flaws        当他们通过外部系统或本地操作系统时，网站要传递参数。如果一个攻击者在那些参数中使用了恶意的指令，那么外部系统就可能在程序执行一半时运行那些指令。

7,Improper Error Handling        在正常的操作期间发生错误的情况没有被适当的处理。如果一个攻击者能导致错误发生，网站不处理，他们就能获得详细地系统信息，否认服务，引起安全机制失败，或破坏服务器。

8,Insecure Storage        网站时常使用暗号功能保护数据和认证信息。整合那些功能和代码以已经被证明是十分困难的 ，甚至造成弱保护。

9,Denial of Service        攻击者能消耗网站的资源，在那里合法的用户不在能获取或使用网站的资源。攻击者也能锁定他们帐户以外的用户或者甚至导致整个程序失败。

10,Insecure Configuration Management        拥有一个强壮的服务器配置标准对于一个网站的安全是十分关键的。那些服务器有许多影响安全的配置选项并且有些没有在这个选框中。

-----------------------------------------------------------------------------------------------------
我在绝望的冰海找寻出口,却在午夜惊醒时,蓦然瞥见那绝美的月光......